Witam Szanownych Grupowiczow !

Mam nastepujacy problem:


Pol roku temu podpisalem umowe z firma X. Wybralem ja miedzy innymi dlatego
ze jako jedyna w swojej branzy chwalila sie ze w ciagu paru miesiecy
uruchomi serwis www za pomoca ktorego bedzie mozna na bierzaco przegladac
historie transakcji, swoje konto itp itd.

Serwis zostal uruchomiony miesiac temu. Logujac sie na niego moge
przegladac:
- swoje imie i nazwisko
- swoje dane teleadresowe
- historie wplat za okreslone uslugi

slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob
trzecich.

Jak juz powiedzialem, serwis www zostal uruchomiony jednak dziala w zwyklych
polaczeniach zamiast szyfrowanych (http zamiast https).

Przejecie loginu i hasla a co za tym idzie uzyskanie dostepu do mojego konta
w tak niezabezpieczonym serwisie jest zdecydowanie latwiejsze niz w
przypadku witryn https.

Chcialbym napisac do tej firmy pismo w ktorym "delikatnie" zasugerowalbym
aby wyzej opisany fakt zmienili.

W zwiazku z tym mam pare pytan:

- Czy w takim pismie moge powolac sie na jakies akty prawne (ustawa o
ochronie danych osobowych - jesli tak to na co dokladnie, jakies inne
dokumenty) mowiace o tym ze tego typu serwisy powinny posiadac - moim
zdaniem - elementarne zabezpieczenie ?

Czy dane ktore wymienilem na poczatku kwalifikuja sie jako dane osobowe a
przez to powinny byc chronione ?

Czy firma udostepniajaca takie dane musi je chronic (np. za pomoca https)
czy raczej nie musi a moze ?


Przejscie z http na https to dla osoby ze srednia znajomoscia konfiguracji
serwerow 10-15 min roboty + ewentualny koszt zakupu certyfikatu (ok.
300zl/rok) wiec nie wydaje mi sie zeby to byl jakis problem dla firmy X


z gory dziekuje za wszystkie sugestie.

--
"Everything should be made as simple as possible,
but not simpler" - A. Einstein

do góry

Uzytkownik "Dr Dex" <d...@w...spamfree.pl> napisal w wiadomosci
news:g8h1s5$f6l$1@news.onet.pl...
> Witam Szanownych Grupowiczow !
>
> Mam nastepujacy problem:
>
>
> Pol roku temu podpisalem umowe z firma X. Wybralem ja miedzy innymi
> dlatego
> ze jako jedyna w swojej branzy chwalila sie ze w ciagu paru miesiecy
> uruchomi serwis www za pomoca ktorego bedzie mozna na bierzaco przegladac
> historie transakcji, swoje konto itp itd.
>
> Serwis zostal uruchomiony miesiac temu. Logujac sie na niego moge
> przegladac:
> - swoje imie i nazwisko
> - swoje dane teleadresowe
> - historie wplat za okreslone uslugi
>
> slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob
> trzecich.
>
> Jak juz powiedzialem, serwis www zostal uruchomiony jednak dziala w
> zwyklych
> polaczeniach zamiast szyfrowanych (http zamiast https).


nie osmieszaj sie jak GIODO z nasza klasa, szyfrowanie ma sens w serwisach
typu bank, gdzie wlamanie sie komus moze przyniesc istotna korzysc.

P.


--
http://wspolna-flaszka.pl - a Ty z kim dzisiaj pijesz? :-)

do góry

On 20 Sie, 14:14, Dr Dex <d...@w...spamfree.pl> wrote:
[...]

> Czy firma udostepniajaca takie dane musi je chronic (np. za pomoca https)
> czy raczej nie musi a moze ?

Jedyne co mi przychodzi do głowy to:
Dz. U. z 2004 r. Nr 100, poz. 1024

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych

Ale nie wiem czy ma to zastosowanie do Twojego przypadku.

KJ

do góry

Troll wrote:

>
> nie osmieszaj sie jak GIODO z nasza klasa, szyfrowanie ma sens w serwisach
> typu bank, gdzie wlamanie sie komus moze przyniesc istotna korzysc.

zdefiniuj termin "istotna korzysc" ?


--
"Everything should be made as simple as possible,
but not simpler" - A. Einstein

do góry

Uzytkownik "Dr Dex" <d...@w...spamfree.pl> napisal w wiadomosci
news:g8h5on$rmq$1@news.onet.pl...
> Troll wrote:
>
>>
>> nie osmieszaj sie jak GIODO z nasza klasa, szyfrowanie ma sens w
>> serwisach
>> typu bank, gdzie wlamanie sie komus moze przyniesc istotna korzysc.
>
> zdefiniuj termin "istotna korzysc" ?

taka ktora powoduje ze ktos moze miec chec dorbania sie do danych(w tym
twojego hasla), np konta bankowego (internetowego) z ktorego sobie moze
przelac pieniadze.

P.

do góry

Dr Dex pisze:

> Serwis zostal uruchomiony miesiac temu. Logujac sie na niego moge
> przegladac:
> - swoje imie i nazwisko
> - swoje dane teleadresowe
> - historie wplat za okreslone uslugi
> slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob
> trzecich.
Słusznie.Ale czy są?

> Jak juz powiedzialem, serwis www zostal uruchomiony jednak dziala w zwyklych
> polaczeniach zamiast szyfrowanych (http zamiast https).
> Przejecie loginu i hasla a co za tym idzie uzyskanie dostepu do mojego konta
> w tak niezabezpieczonym serwisie jest zdecydowanie latwiejsze niz w
> przypadku witryn https.
Ale mimo to serwis jest zabezpieczony.Wprawdzie w w minimalny sposób, ale jest.


> Chcialbym napisac do tej firmy pismo w ktorym "delikatnie" zasugerowalbym
> aby wyzej opisany fakt zmienili.
Mozesz.


> W zwiazku z tym mam pare pytan:
> - Czy w takim pismie moge powolac sie na jakies akty prawne (ustawa o
> ochronie danych osobowych - jesli tak to na co dokladnie,
To podstawa, ale szczegółów tam nie znajdziesz.Wg tego co piszesz dane są chronione.

jakies inne
> dokumenty) mowiace o tym ze tego typu serwisy powinny posiadac - moim
> zdaniem - elementarne zabezpieczenie ?
Login i hasło, np. minimum 6 znakowe- jest takim zabezpieczeniem


> Czy dane ktore wymienilem na poczatku kwalifikuja sie jako dane osobowe a
> przez to powinny byc chronione ?
Zdecydowanie tak.


> Czy firma udostepniajaca takie dane musi je chronic (np. za pomoca https)
> czy raczej nie musi a moze ?
Nie musi, ale może.To zależy jaką mają politykę bezpieczeństwa w firmie.
Na podstawie Rozp,MSWiA w sprawie w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych, powinni stworzyć
_adekwatny_system
ochrony D.O.


> Przejscie z http na https to dla osoby ze srednia znajomoscia konfiguracji
> serwerow 10-15 min roboty + ewentualny koszt zakupu certyfikatu (ok.
> 300zl/rok) wiec nie wydaje mi sie zeby to byl jakis problem dla firmy X
Pewnie.
W takich sprawach GIODO moze być wyrocznią ale nie musi.

>
> z gory dziekuje za wszystkie sugestie.
>

do góry

Rentier wrote:


>> slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob
>> trzecich.
> Słusznie.Ale czy są?

moga byc i to w latwy sposob. Czy to nie wystarcza ?


> Ale mimo to serwis jest zabezpieczony.Wprawdzie w w minimalny sposób,
> ale jest.
>
czym - haslem ? Nie wazne czy haslo bedzie mialo 2 czy 202 znaki - jest ono
wysylane tekstem jawnym i przechodzi przez szereg urzadzen zarzadzanych
przez osoby trzecie. Dostep do takich urzadzen = dostep do hasla a co za
tym idzie i konta.

Dla przykladu: powiedzmy ze lacze sie z internetem przez siec osiedlowa
ktora zarzadza osoba ktora ma wobec mnie zle zamiary, albo nawet nie ma ale
nie chcialbym aby wiedziala ze miesiac w miesiac przelewam na jakies konto
po kilka tysiecy zlotych. W takim wypadku zdobycie hasla zajmie jej 2
minuty


>
>> W zwiazku z tym mam pare pytan:
>> - Czy w takim pismie moge powolac sie na jakies akty prawne (ustawa o
>> ochronie danych osobowych - jesli tak to na co dokladnie,
> To podstawa, ale szczegółów tam nie znajdziesz.Wg tego co piszesz dane są
> chronione.
na jakiej podstawie tak sadzisz ? Bo w/g mnie wlasnie nie sa

> Login i hasło, np. minimum 6 znakowe- jest takim zabezpieczeniem
patrz wyzej


>
>> Czy dane ktore wymienilem na poczatku kwalifikuja sie jako dane osobowe a
>> przez to powinny byc chronione ?
> Zdecydowanie tak.

czyli jednak mam prawo domagac sie aby byly chronione ?


--
"Everything should be made as simple as possible,
but not simpler" - A. Einstein

do góry

>>> slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob
>>> trzecich.
>> Słusznie.Ale czy są?
> moga byc i to w latwy sposob. Czy to nie wystarcza ?
To bardzo indywidualne.Co oznacza "łatwo?" dla informatyka tak, a dla twojego sasiada
rencisty,
który chciałby wiedzieć o tobie więcej - już jest czarna magia


>> Ale mimo to serwis jest zabezpieczony.Wprawdzie w w minimalny sposób,
>> ale jest.
> czym - haslem ? Nie wazne czy haslo bedzie mialo 2 czy 202 znaki - jest ono
Ważne.
> wysylane tekstem jawnym i przechodzi przez szereg urzadzen zarzadzanych
> przez osoby trzecie. Dostep do takich urzadzen = dostep do hasla a co za
> tym idzie i konta.
W tym sensie rzeczywiście ilość znaków jest nieistotna.
Ale mogę zawsze powiedzieć(będąć adwokatem diabła) że twój komputer nie jest
należycie
zabezpieczony przed ulotem elektromagnetycznym,a wówczas spec ze sprzętem "łatwo"
wszystko przechwyci.
Z tym,że musisz wziąć pod uwagę adekwatność zabezpieczeń i zdrowy rozsądek.
Jeżeli wygrasz jakikolwiek proces z firmą o odszkodowanie, to zawsze byłoby ono
niższe niż koszt
zabezpieczenia sprzętu jak do przetwarzania informacji np. niejawnych
To oczywiście tylko przykład.
Masz rację,wprowadzenie zabezpieczeń o 1 stopień wyższych od obecnych nie narazi
firmy na znaczne
koszty.

>>> W zwiazku z tym mam pare pytan:
>>> - Czy w takim pismie moge powolac sie na jakies akty prawne (ustawa o
>>> ochronie danych osobowych - jesli tak to na co dokladnie,
>> To podstawa, ale szczegółów tam nie znajdziesz.Wg tego co piszesz dane są
>> chronione.
> na jakiej podstawie tak sadzisz ? Bo w/g mnie wlasnie nie sa
Ocenić to może GIODO. I tylko w tym konkretnym przypadku.
A bazując na informacjach od ciebie, prawdopodobnie nie nakaże zastosować lepszych
zabezpieczeń.
Tu sporo czynników jest istotnych: jeżeli to internetowy sklep z guzikami i włóczką,
to pewnie nic
nie wskórasz,
ale np. internetowy sex shop, to zapewne mógłbyś wygrać.Czujesz różnice?


> czyli jednak mam prawo domagac sie aby byly chronione ?
Żeby były _lepiej_chronione.
Napiszesz do firmy swoje prośby/żądania.Ona albo uzna, albo nie.Jeżeli nie wal skargę
do GIODO.

do góry

Uzytkownik "Dr Dex" <d...@w...spamfree.pl> napisal w
> Jak juz powiedzialem, serwis www zostal uruchomiony jednak dziala w
> zwyklych
> polaczeniach zamiast szyfrowanych (http zamiast https).

Jest rozporzadzenie w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadac
urzadzenia i systemy informatyczne sluzace do przetwarzania danych
osobowych: jak jest internet to ma byc https przy dostepie do danych
(uwierzytelnianiu).

Z tym, ze nie wiem czy w Twoim mozna mówic o uwierzytelnianiu sie do systemu
przetwarzania danych, wszak masz dostep nie do zbioru, a jedynie do swoich
danych. Bo idadc tym tokiem to praktycznie logujac sie gdzieklowiek
nalezalony dawac https, bo ma sie dostep do swoich danych osobowych. A tak
nie jest. Wydaje sie, ze logujac na wlasne konta nie ma sie dostepu do
danych, wiec to wymaganie nie jest konieczne. Ale trzeba poszukac w
interpretacjach GIODO lub oficjalnie tam spytac.

do góry

Na początku zaznaczę, że nie jestem prawnikiem, ale może ma tu
zastosowanie ustawa o świadczeniu usług drogą elektroniczną?

Art. 7. Usługodawca zapewnia działanie systemu teleinformatycznego,
którym się posługuje, umożliwiając nieodpłatnie usługobiorcy:
1) w razie, gdy wymaga tego właściwość usługi:
a) korzystanie przez usługobiorcę z usługi świadczonej drogą
elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do
treści przekazu składającego się na tę usługę, w szczególności przy
wykorzystaniu technik kryptograficznych odpowiednich dla właściwości
świadczonej usługi,

do góry